这些日子以来，软件安全范畴相当于是警钟接二连三。先是有潜伏长达十年之久的Linux内核高危漏洞“Copy ...

编者按：本文来自微信公众号“新智元”（ID:AI_era），来源：npmjs等，编辑：白峰、元子，36氪经授权发布。 GitHub官方于 3 月 16 日正式宣布已经签署了收购npm的协议，未来将帮助npm满足快速增长的JavaScript社区的需求。众所周知，GitHub已经成为微软的子公司，微软 ...

IT之家 4 月 24 日消息，科技媒体 bleepingcomputer 昨日（4 月 23 日）发布博文，报道称 Bitwarden CLI 的 npm 包遭供应链攻击，恶意版本 2026.4.0 被用于窃取开发者 npm 令牌、SSH 密钥及云凭证等。 IT之家注：供应链攻击是一种针对软件开发流程的网络攻击方式。攻击者通过入侵代码仓库、构建工具或依赖包，在合法软件的分发环节植入恶意代码，从而 ...

导语：GitHub 宣布收购 npm ，微软的开源全家桶又多一个鸡腿，JavaScript 生态尽归微软。 2020 年 3 月 16 日，全球开源社区爆出大新闻：GitHub 宣布收购 npm 。 npm 是啥？JavaScript 世界的软件包管理器。它的体量有多大？大约有 1200 万开发人员使用，共提供了 130 万个 ...

IT之家 9 月 9 日消息，网络安全机构 Aikido Security 披露了一起 npm 软件包库遭黑客攻击的案例。 据介绍，黑客通过钓鱼邮件入侵知名开发者 Josh Junon（用户名 qix）等人的账户，在至少 18 个高频下载包中注入恶意代码，这 18 个受影响的包周下载总量达 26 亿次。

应用程序开发者近日收到警告：恶意版本的pgserve（一款用于应用开发的嵌入式PostgreSQL服务器）和automagik（一款AI编程工具）已被上传至npm JavaScript注册表，可能危害开发者的计算机安全。

近日，AI领域明星公司 Anthropic 的核心产品 Claude Code 遭遇了一场意外的代码泄露事件。这起事件不仅引发了技术社区的广泛关注，也让人们得以一窥这家AI独角兽的技术细节与内部运作。一个名为 ChaofanShou 的用户在 X平台 上率先披露， Claude Code 的源代码通过 npm 注册表中的映射文件被公开，这一消息迅速引爆了技术社区。相关 GitHub ...

Axios库遭黑客劫持，npm被植入远程木马！恶意版本axios@1.14.1/0.30.4通过虚假依赖执行后门脚本，窃取系统权限。立即检查版本 ...

又一起npm供应链攻击正在蔓延，恶意软件以蠕虫方式感染与Namastex Labs相关的多个npm包，窃取开发者环境中的令牌、API密钥、SSH密钥及云服务凭证，并将数据外传至ICP容器端点。该攻击具备自我传播能力，可识别受害者有权发布的包并注入恶意代码重新发布，还可横向感染PyPI包。安全厂商Socket指出，此次攻击与上月TeamPCP发动的CanisterWorm攻击高度重叠。

又一起npm供应链攻击正在蔓延，恶意软件以蠕虫方式感染与Namastex Labs相关的多个npm包，窃取开发者环境中的令牌、API密钥、SSH密钥及云服务凭证，并将数据外传至ICP容器端点。该攻击具备自我传播能力，可识别受害者有权发布的包并注入恶意代码重新发布，还可横向感染PyPI包。安全厂商Socket指出，此次攻击与上月TeamPCP发动的CanisterWorm攻击高度重叠。

网络安全研究人员发现了一组新的恶意npm包，专门用于窃取加密货币钱包和敏感数据。 ReversingLabs将这一活动追踪为Ghost攻击活动。已识别的恶意包均由名为mikilanjillo的用户发布，具体清单如下： react-performance-suite react-state-optimizer-core react-fast-utilsa ai-fast-auto-trader ...